Sol chaud

LES HANCHES. Paramètres généraux de protection proactive. Meilleur expert HIPS (Protection proactive)

16.03.2022

Système de prévention des intrusions sur l'hôte Protège contre les logiciels malveillants et autres activités indésirables qui tentent de nuire à la sécurité de votre ordinateur. Host Intrusion Prevention utilise une analyse avancée du comportement combinée à des capacités de détection de filtrage réseau pour surveiller les processus en cours, les fichiers et les clés de registre. Host Intrusion Prevention est différent de la protection du système de fichiers en temps réel et n'est pas un pare-feu ; il surveille uniquement les processus exécutés sur le système d'exploitation.

Les paramètres du système de prévention des intrusions de l'hôte se trouvent dans la section Paramètres additionnels(F5). Pour ouvrir Host Intrusion Prevention, dans l'arborescence des options avancées, sélectionnez Ordinateur > HIPS. L'état de Host Intrusion Prevention (activé ou désactivé) est affiché dans la fenêtre principale d'ESET Smart Security dans la zone Paramètres sur le côté droit de la section Ordinateur.

Avertissement. Les modifications apportées aux paramètres de prévention des intrusions sur l'hôte ne doivent être effectuées que par des utilisateurs expérimentés.

ESET Smart Security dispose d'une technologie d'autoprotection intégrée qui empêche les logiciels malveillants d'endommager ou de désactiver la protection contre les virus et les logiciels espions. L'autodéfense protège les fichiers et les clés de registre considérés comme essentiels au fonctionnement d'ESET Smart Security et garantit que les programmes potentiellement malveillants n'ont pas le droit d'apporter des modifications à ces emplacements.

Modifications des paramètres Activer le système de prévention des intrusions sur l'hôte Et Activer l'auto-défense prendre effet après redémarrage de la salle d'opération Systèmes Windows. Éteindre systèmes de prévention des intrusions sur l'hôte Vous devrez également redémarrer votre ordinateur.

Bloqueur d'exploit conçu pour protéger les applications généralement vulnérables aux exploits, telles que les navigateurs, les lecteurs PDF, les clients de messagerie et les composants MS Office. Pour plus d'informations sur ce type de protection, consultez le glossaire.

Module d'analyse de mémoire avancé fonctionne conjointement avec un bloqueur d'exploits pour améliorer la protection contre les logiciels malveillants qui peuvent échapper à la détection par les produits anti-malware conventionnels grâce à l'utilisation de l'obscurcissement et/ou du cryptage. Pour plus d'informations sur ce type de protection, consultez le glossaire.

Le filtrage HIPS peut être effectué dans l’un des quatre modes décrits ci-dessous.

· Mode apprentissage : les opérations sont activées, une règle étant créée après chaque opération. Les règles créées dans ce mode peuvent être visualisées dans la section Éditeur de règles, mais leur priorité est inférieure à celle des règles créées manuellement ou automatiquement. Après avoir sélectionné l'option Mode entraînement, la fonction devient disponible Notifier la fin du mode entraînement après X jours. Après l'expiration du délai spécifié dans le paramètre Notifier la fin du mode entraînement après X jours, le mode d'apprentissage est à nouveau désactivé. La durée maximale du délai est de 14 jours. À la fin de cette période, une fenêtre pop-up apparaîtra sur l'écran dans laquelle vous pourrez modifier les règles et sélectionner un autre mode de filtrage.

Host Intrusion Prevention surveille les événements du système d'exploitation et répond en conséquence en fonction de règles similaires aux règles de pare-feu personnel d'ESET Smart Security. Sélectionnez une équipe Configurer les règles... pour ouvrir la fenêtre de gestion des règles du système de prévention des intrusions sur l'hôte. Ici, vous pouvez sélectionner, créer, modifier et supprimer des règles. Pour plus d'informations sur la création de règles et les opérations du système de prévention des intrusions sur l'hôte, consultez le chapitre Modifier la règle.

L'exemple suivant vous montrera comment limiter les comportements indésirables des applications.

Si vous sélectionnez Demander comme action par défaut, ESET Smart Security affichera une boîte de dialogue chaque fois que vous exécuterez une opération. Vous pouvez également sélectionner d'autres actions pour l'opération : Refuser ou Autoriser. Si vous ne sélectionnez pas d'action, l'action sera sélectionnée en fonction de règles prédéfinies.

Dans la boîte de dialogue Autoriser l'accès à une autre application Vous pouvez créer une règle basée sur une nouvelle action détectée par la prévention des intrusions sur l'hôte, puis définir les conditions dans lesquelles cette action sera autorisée ou refusée. Cliquez sur Afficher les options pour définir les paramètres exacts de la nouvelle règle. Les règles créées de cette manière sont considérées comme équivalentes aux règles créées manuellement. Par conséquent, la règle créée dans la boîte de dialogue peut être moins détaillée que la règle qui a provoqué l'affichage de la boîte de dialogue. Cela signifie qu'après avoir créé une telle règle, la même opération peut provoquer une autre boîte de dialogue si les paramètres définis dans l'ensemble de règles précédent ne s'appliquent pas à cette situation.

Sélection des paramètres Mémoriser temporairement cette action pour ce processus provoque l'utilisation de l'action (Autoriser / Refuser) jusqu'à ce que les règles ou les modes de filtrage soient modifiés, que le module du système de prévention des intrusions de l'hôte soit mis à jour ou que l'ordinateur soit redémarré. Après avoir effectué l'une de ces actions, les règles temporaires sont supprimées.

Il existe actuellement d’innombrables types de logiciels malveillants. Les experts en logiciels antivirus sont bien conscients que les solutions basées uniquement sur des bases de données de signatures de virus ne peuvent pas être efficaces contre certains types de menaces. De nombreux virus sont capables de s'adapter, de modifier la taille et les noms des fichiers, processus et services.

Si un fichier potentiellement dangereux ne peut pas être détecté par signes extérieurs, vous pouvez déterminer son caractère nocif par son comportement. Il s’agit d’une analyse comportementale qui est réalisée par le Host Intrusion Prevention System (HIPS).

HIPS est un logiciel spécialisé qui surveille les fichiers, processus et services à la recherche d'activités suspectes. En d’autres termes, la protection proactive HIPS sert à bloquer les logiciels malveillants sur la base des critères suivants : performance dangereuse code. L'utilisation de la technologie vous permet de maintenir une sécurité optimale du système sans avoir besoin de mettre à jour les bases de données.

HIPS et les pare-feu sont des composants étroitement liés. Alors qu'un pare-feu contrôle le trafic entrant et sortant en fonction d'un ensemble de règles, HIPS contrôle la façon dont les processus démarrent et s'exécutent en fonction des modifications apportées à l'ordinateur conformément aux règles de contrôle.

Les modules HIPS protègent votre ordinateur contre les types de menaces connus et inconnus. Lorsque des actions suspectes sont effectuées par un logiciel malveillant ou un attaquant, HIPS bloque cette activité, avertit l'utilisateur et propose d'autres solutions. Sur quels changements HIPS se concentre-t-il exactement ?

Voici une liste approximative des activités que HIPS surveille de près :

Gérer les autres programmes installés. Par exemple, envoyer des emails à l'aide d'un client de messagerie standard ou lancer certaines pages dans votre navigateur par défaut ;

Tenter d'apporter des modifications à certaines entrées du registre système afin qu'un programme démarre lorsque certains événements se produisent ;

Mettre fin à d'autres programmes. Par exemple, désactiver l'analyseur antivirus ;

Installation de périphériques et de pilotes qui s'exécutent avant d'autres programmes ;

Accès à la mémoire interprocesseur qui permet d'injecter du code malveillant dans un programme de confiance

Qu’attendre d’un HIPS réussi ?

HIPS doit disposer d’une autorité suffisante pour empêcher le logiciel malveillant d’être actif. Si la confirmation de l'utilisateur est requise pour arrêter un programme dangereux, le système est inefficace. Un système de prévention des intrusions doit disposer d'un ensemble spécifique de règles que l'utilisateur peut appliquer. Les opérations de création de nouvelles règles devraient être disponibles (bien qu'il devrait y avoir certaines exceptions). L'utilisateur travaillant avec HIPS doit clairement comprendre les conséquences de ses modifications. Sinon, des conflits pourraient survenir logiciel et les systèmes. Des informations complémentaires sur le fonctionnement du système de prévention des intrusions sont disponibles sur les forums spécialisés ou dans le fichier d'aide de l'antivirus.

En règle générale, la technologie HIPS fonctionne au démarrage du processus. Il interrompt les actions pendant qu'elles sont en cours. Il existe cependant des produits HIPS avec détection préliminaire, lorsque le danger potentiel d'un fichier exécutable est déterminé avant son lancement effectif.

Y a-t-il des risques ?

Les risques associés à HIPS sont les faux positifs et les décisions incorrectes des utilisateurs. Le système est responsable de certaines modifications effectuées par d'autres programmes. Par exemple, HIPS suit toujours le chemin du registre HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run, responsable du chargement automatique des programmes au démarrage du système.

Évidemment, de nombreux programmes sécurisés utilisent cette entrée de registre pour démarrer automatiquement. Quand des changements seront-ils apportés à cette clé, HIPS invitera l'utilisateur à effectuer d'autres actions : autoriser ou désactiver les modifications. Très souvent, les utilisateurs cliquent simplement sur Autoriser sans approfondir les informations, surtout s'ils installent un nouveau logiciel à ce moment-là.

Certains HIPS informent sur des décisions similaires prises par d'autres utilisateurs, mais pour un petit nombre d'entre eux, ils ne sont pas pertinents et peuvent induire l'utilisateur en erreur. Espérons que la plupart des utilisateurs l'ont fait bon choixà toi de voir. Le système fonctionne très bien pour identifier le danger potentiel et afficher un message d'alarme. De plus, même si HIPS a correctement identifié la menace, l'utilisateur peut effectuer une mauvaise action et ainsi infecter le PC.

Conclusion: HIPS est un élément important de la protection multicouche. Il est également recommandé d'utiliser d'autres modules de sécurité avec le système. Pour une utilisation optimale et efficace Travail sur les hanches l'utilisateur doit avoir certaines connaissances et qualifications.

Basé sur le blog Malwarebytes Unpacked

Vous avez trouvé une faute de frappe ? Mettez en surbrillance et appuyez sur Ctrl + Entrée

Le système HIPS, utilisant son propre pilote, intercepte tous les appels logiciels vers le noyau du système d'exploitation. Si tenté, potentiellement action dangereuse Côté logiciel, le système HIPS bloque l'exécution de cette action et émet une requête à l'utilisateur, qui décide d'autoriser ou d'interdire l'exécution de cette action.

La base de tout HIPS est un tableau de règles. Dans certains produits, il n'est divisé en aucune façon, dans d'autres, il est divisé en tableaux intermédiaires selon la nature des règles (par exemple, règles pour les fichiers, règles pour les réseaux, règles pour les privilèges système, etc.), dans dans d'autres, le tableau est divisé par applications et leurs groupes. Ces systèmes surveillent certains événements système (par exemple, tels que la création ou la suppression de fichiers, l'accès au registre, l'accès à la mémoire, le lancement d'autres processus), et chaque fois que ces événements sont sur le point de se produire, HIPS vérifie sa table de règles et agit ensuite en conséquence. conformément aux paramètres spécifiés dans le tableau. L'action est soit autorisée, soit refusée, ou HIPS demande à l'utilisateur quelle action il doit entreprendre dans ce cas particulier.

Une fonctionnalité spéciale de HIPS est la stratégie de groupe, qui permet d'appliquer les mêmes autorisations à toutes les applications incluses dans un groupe spécifique. En règle générale, les applications sont divisées en applications fiables et non fiables, et des groupes intermédiaires sont également possibles (par exemple, faiblement restreints et hautement restreints). Les applications de confiance ne sont en aucune façon limitées dans leurs droits et capacités, les applications faiblement limitées ne sont pas autorisées à effectuer les actions les plus dangereuses pour le système, les applications hautement limitées ne sont autorisées que les actions qui ne peuvent pas causer de dommages importants, et les applications non fiables ne peuvent effectuer pratiquement aucune actions du système.

Les règles HIPS contiennent trois composants de base : le sujet (c'est-à-dire l'application ou le groupe qui provoque un certain événement), l'action (autoriser, refuser ou demander à l'utilisateur) et l'objet (à quoi l'application ou le groupe tente d'accéder). Selon le type d'objet, les règles sont divisées en trois groupes :

  • fichiers et registre système (objet – fichiers, clés de registre) ;
  • droits du système (objet – droits du système pour effectuer certaines actions) ;
  • réseaux (objet - adresses et leurs groupes, ports et directions).

Types de HANCHES

  • HIPS où la décision est prise par l'utilisateur- lorsque l'intercepteur de fonction API (Application Programming Interface) intercepte une fonction d'application, une question sur les actions ultérieures s'affiche. L'utilisateur doit décider s'il souhaite exécuter l'application ou non, avec quels privilèges ou restrictions pour l'exécuter.
  • HIPS, dans lequel la décision est prise par le système- la décision est prise par l'analyseur ; pour cela, le développeur crée une base de données dans laquelle sont renseignés les règles et les algorithmes de prise de décision.
  • Système HIPS "mixte"- la décision est prise par l'analyseur, mais lorsqu'il ne peut pas prendre de décision ou que les paramètres « prise de décision utilisateur » sont activés, la décision et le choix des actions supplémentaires sont laissés à l'utilisateur.

Avantages des hanches

  • Faible consommation de ressources système.
  • Pas exigeant matériel ordinateur.
  • Peut fonctionner sur diverses plateformes.
  • Très efficace pour contrer les nouvelles menaces.
  • Très efficace pour contrer les rootkits opérant au niveau de l'application (mode utilisateur).

Inconvénients du HIPS

  • Faible efficacité de la lutte contre les rootkits opérant au niveau du noyau.
  • Un grand nombre de demandes à l'utilisateur.
  • L'utilisateur doit avoir connaissance des principes de fonctionnement

Systèmes de prévention des intrusions (systèmes IPS).
Protéger votre ordinateur contre tout accès non autorisé.

Systèmes de prévention des intrusions– des outils actifs de sécurité de l’information qui non seulement détectent, mais protègent également contre les intrusions et les failles de sécurité. Pour de tels systèmes, l'abréviation IPS est traditionnellement utilisée (de l'anglais Intrusion Prevention System - système de prévention des intrusions). Les systèmes IPS sont une version améliorée des systèmes de détection d'intrusion qui implémentent la fonctionnalité protection automatique contre les cybermenaces. Les systèmes de prévention des intrusions sont capables de détecter les activités malveillantes, d'envoyer des signaux à l'administrateur, de bloquer les processus suspects et de rompre ou de bloquer une connexion réseau via laquelle une attaque est menée sur le stockage de données ou les services. IPS peut également effectuer une défragmentation des paquets, en réorganisant les paquets TCP pour se protéger contre les paquets dont les numéros SEQ et ACK ont été modifiés.

Le type de système de prévention des intrusions le plus répandu aujourd'hui est LES HANCHES(de l'anglais Host-based Intrusion Prevention System - système de prévention des intrusions au niveau de l'hôte). La technologie HIPS constitue la base des produits et systèmes de sécurité ; de plus, des éléments de protection HIPS ont commencé à utiliser des moyens traditionnels de lutte contre les logiciels malveillants, par exemple des programmes antivirus.


Si nous parlons des avantages des systèmes de prévention des intrusions de type HIPS, l'essentiel est sans aucun doute exclusivement haut niveau protection. Experts en sécurité des informations Ils conviennent que les systèmes HIPS sont capables de fournir une protection presque à 100 % contre tout malware, même le plus récent, ainsi que contre toute tentative d'accès non autorisé à des informations confidentielles. C'est une protection qui remplit parfaitement sa fonction principale : protéger. Aucun outil traditionnel de sécurité de l’information ne peut se vanter d’un tel niveau de protection.


Les outils et techniques HIPS sont au cœur des capacités de sécurité des informations de SafenSoft. Nos produits combinent tous les avantages des systèmes de prévention des intrusions et des solutions de sécurité traditionnelles. La protection proactive SoftControl empêche toute tentative d'accès non autorisé aux données et à l'environnement logiciel des PC domestiques (produits SysWatch Personal et SysWatch Deluxe), des postes de travail du réseau d'entreprise (Enterprise Suite), des guichets automatiques et des terminaux de paiement (TPSecure et TPSecure Teller). Notre technologie brevetée de contrôle des applications V.I.P.O.® combine 3 niveaux de protection : contrôle toutes les applications en cours d'exécution, utilise un bac à sable dynamique pour exécuter les processus suspects et contrôle l'accès des applications au système de fichiers, aux clés de registre, appareils externes et les ressources du réseau. Les solutions SoftControl sont capables de fonctionner en parallèle avec des packages antivirus, offrant une protection complète de l'environnement logiciel informatique. Lorsqu'on travaille dans réseau local, les produits SoftControl disposent d'une gestion centralisée pratique et d'un système d'alerte de l'administrateur sur les menaces. Contrairement aux outils de sécurité traditionnels, les solutions SoftControl ne nécessitent pas de mises à jour constantes des bases de données de signatures.

Dans ces tests comparatifs, nous avons analysé les antivirus et pare-feu personnels populaires qui intègrent des composants HIPS (Host Intrusion Prevention Systems) pour déterminer leur capacité à empêcher la pénétration de logiciels malveillants au niveau du noyau (ci-après dénommé Ring 0). système opérateur Microsoft Windows. Si un malware parvient à pénétrer au niveau du noyau, il prend le contrôle total de l'ordinateur de la victime.

Résumé:

Introduction

Les technologies d'analyse comportementale et les systèmes de prévention des intrusions sur l'hôte (HIPS) gagnent en popularité parmi les fabricants d'antivirus, de pare-feu et d'autres moyens de protection contre les codes malveillants. Leur objectif principal est d’identifier et de bloquer les activités malveillantes sur le système et d’empêcher qu’il ne soit infecté.

La tâche de protection la plus difficile dans ce cas consiste à empêcher les programmes malveillants de pénétrer dansniveau du noyau du système d'exploitation (Kernel Level), fonctionnant dans le « processeur ring zéro » (Ring 0). Ce niveau dispose de privilèges maximum lors de l'exécution de commandes et de l'accès aux ressources informatiques du système dans son ensemble.

Si un programme malveillant parvient à pénétrer au niveau du noyau, cela lui permettra d’obtenir un contrôle complet et essentiellement illimité sur l’ordinateur de la victime, y compris la possibilité de désactiver la protection et de masquer sa présence dans le système. Un programme malveillant peut intercepter les informations saisies par l'utilisateur, envoyer du spam, mener des attaques DDoS, remplacer le contenu des requêtes de recherche et faire autre chose, malgré une protection antivirus formellement opérationnelle. Il devient donc particulièrement important que les mesures de sécurité modernes empêchent les logiciels malveillants de pénétrer dans le Ring 0.

Dans ces tests, nous avons comparé des antivirus et des pare-feu populaires incluant des composants HIPS pour déterminer la capacité à empêcher la pénétration de logiciels malveillants au niveau du noyau (ci-après dénommé Ring 0) du système d'exploitation Microsoft Windows XP SP3.

Sélection des logiciels malveillants à tester

Nous avons décidé de ne pas simuler artificiellement la pénétration du Ring 0, mais de réaliser un test sur de vrais logiciels malveillants. De plus, ces dernières ont été sélectionnées de manière à couvrir toutes les méthodes d’enregistrement utilisées dans le Ring 0, qui sont effectivement utilisées dans « faune"(Dans la nature):

  1. DémarrerServiceA- un pilote malveillant est téléchargé en remplaçant le fichier du pilote système dans le répertoire %SystemRoot%\System32\Drivers puis en le téléchargeant. Permet de charger le pilote sans modifier le registre.
    Occurrence d'ITW : élevée
  2. GDS- à utiliser pour enregistrer et charger le pilote du gestionnaire de gestion de services. Cette méthode est utilisée à la fois par des applications légitimes et par des logiciels malveillants.
    Occurrence d'ITW : élevée
  3. Dll connues- modification de la section \KnownDlls et copie d'une des bibliothèques système afin de charger du code malveillant par le processus système.
    Occurrence d'ITW : moyenne
  4. RPC- création et chargement du pilote via RPC. Exemple d'utilisation : chargeur du célèbre Rustock.C
    Occurrence d'ITW : rare
  5. ZwLoadDriver- remplacer le pilote système par un pilote malveillant en le déplaçant puis en le téléchargeant directement.
    Occurrence d'ITW : élevée
  6. ZwSystemDebugControl- suppression des interceptions installées par HIPS pour surveiller les événements système dans SDT à l'aide des privilèges de débogage.
    Occurrence d'ITW : élevée
  7. \ Appareil\ Mémoire physique- suppression des interceptions installées par HIPS pour surveiller les événements système dans SDT, en utilisant l'écriture dans la section mémoire physique.
    Occurrence d'ITW : moyenne
  8. ZwSetSystemInformation- charger le pilote sans créer de clés dans le registre en appelant ZwSetSystemInformation avec le paramètre SystemLoadAndCallImage.
    Occurrence d'ITW : moyenne
  9. CreateFileA\\.\PhysicalDriveX- lecture/écriture disque secteur par secteur (modification des fichiers ou master boot record du disque).
    Occurrence d'ITW : moyenne

Ainsi, neuf programmes malveillants différents ont été sélectionnés, utilisant les méthodes ci-dessus pour pénétrer dans le Ring 0, qui ont ensuite été utilisés lors des tests.

Méthodologie d'analyse comparative

Les tests ont été réalisés sous VMware Workstation 6.0. Les outils de protection antivirus et pare-feu personnels suivants ont été sélectionnés pour le test :

  1. PC Tools Pare-feu Plus 5.0.0.38
  2. Pare-feu personnel Jetico 2.0.2.8.2327
  3. Pare-feu personnel en ligne Armor Premium 3.0.0.190
  4. Kaspersky Internet Security 8.0.0.506
  5. Suite de sécurité Agnitum Outpost 6.5.3 (2518.381.0686)
  6. Comodo Internet Sécurité 3.8.65951.477

Malheureusement, pour des raisons techniques, les antivirus F-Secure et Norton ont été exclus du test. Le HIPS intégré ne fonctionne pas séparément du moniteur antivirus activé. Et comme les échantillons de logiciels malveillants sélectionnés pouvaient être détectés par signature, ils n'ont pas pu être utilisés. Il n'était pas adapté d'utiliser ces antivirus avec d'anciennes bases de données antivirus (pour éviter la détection des signatures) car Le processus de mise à jour de ces produits peut affecter non seulement les bases antivirus, mais également les modules exécutables (composants de protection).

Pourquoi avons-nous testé d’autres produits antivirus et pare-feu populaires, qui sont nombreux ? Oui, car ils n'incluent pas de module HIPS. Sans cela, ils n'ont objectivement aucune chance d'empêcher la pénétration dans le noyau du système d'exploitation.

Tous les produits ont été installés avec des paramètres maximum s'ils pouvaient être définis sans modifications manuelles subtiles des paramètres HIPS. Si lors de l'installation, le mode d'apprentissage automatique était proposé, il était utilisé jusqu'au lancement du logiciel malveillant.

Avant le test, l'utilitaire légitime cpu-z (un petit programme qui rapporte des informations sur le processeur installé sur l'ordinateur) a été lancé et une règle a été créée qui suggérait le produit testé (son composant HIPS). Après avoir créé une règle pour cet utilitaire, le mode d'apprentissage automatique a été désactivé et un instantané de l'état du système a été créé.

Ensuite, les logiciels malveillants spécialement sélectionnés pour le test ont été lancés un par un, la réaction HIPS aux événements directement liés à l'installation, à l'enregistrement, au chargement du pilote et à d'autres tentatives d'écriture sur Ring 0 a été enregistrée comme dans d'autres tests, avant de vérifier le logiciel malveillant suivant. , le système a été réinitialisé à celui enregistré au début de la photo.

Dans les antivirus participant au test, le moniteur de fichiers a été désactivé et dans Kaspersky Internet Security 2009, l'application malveillante a été placée manuellement dans des restrictions faibles de la zone non fiable.

Étapes de test :

  1. Créez un instantané d'une machine virtuelle propre (primaire).
  2. Installation du produit testé avec les réglages maximum.
  3. Travailler dans le système (installation et lancement des applications Microsoft Office, Adobe Reader, Internet Explorer), activation du mode formation (si disponible).
  4. Marquer le nombre de messages du produit testé, lancer l'utilitaire légitime cpu-z et créer des règles pour celui-ci.
  5. Désactivez le mode d’apprentissage automatique (si disponible).
  6. Transférer le produit testé en mode interactif et créer un autre instantané de la machine virtuelle avec le produit installé (auxiliaire).
  7. Créez des instantanés pour tous les produits testés, en revenant à l'instantané principal et en répétant les étapes 2 à 4.
  8. Sélection d'un instantané avec le produit testé, chargement du système d'exploitation et lancement des programmes malveillants un par un à chaque fois avec retour à leur état d'origine, surveillance de la réaction HIPS.

Résultats de référence

Plus dans le tableau signifie qu'il y a eu une réaction HIPS à un certain événement de la part du programme malveillant pour pénétrer dans l'anneau 0 et qu'il y avait une possibilité d'arrêter cette action.

Moins- si le code malveillant a réussi à pénétrer dans l'anneau 0, ou à ouvrir le disque pour une lecture et une écriture secteur par secteur.

Tableau 1 : Résultats des tests comparatifs des composants HIPS

Méthode de pénétration dans l’anneau 0 Outils PC Jetico Armure en ligne Kaspersky Agnitum Comodo
DémarrerServiceA
-
 + + + -
 +
GDS
-
 + + + -
 +
Dll connues
-
 + + -
 + +
RPC
-
 + + + -
 +
ZwLoadDriver
+
 -
 + + -
 +
ZwSystemDebugControl
-
 + + + + +
\Périphérique\Mémoire Physique
+ + + + + +
ZwSetSystemInformation
-
 + + + + +
CreateFileA\\.\PhysicalDriveX
-
 -
 +
 + + +
Total arrêté :
2
 		7
 		9
 		8
 		5
 		9
Nombre d'alertes et de demandes d'action des utilisateurs
Peu
Tant Beaucoup de Peu Moyenne
Beaucoup de

Il convient de noter que si le mode formation est complètement désactivé, certains des produits testés (par exemple, Agnitum Outpost Security Suite 6.5) peuvent afficher de meilleurs résultats, mais dans ce cas, l'utilisateur est assuré de rencontrer un grand nombre d'alertes diverses et difficultés réelles à travailler dans le système, qui se sont reflétées dans la préparation de la méthodologie de ce test.

Comme le montrent les résultats, les meilleurs produits pour empêcher la pénétration de logiciels malveillants au niveau du noyau du système d'exploitation sont Online Armor Personal Firewall Premium 3.0, Comodo Internet Security 3.8 et Kaspersky Internet Security 2009.

Il convient de noter qu'Online Armor Personal Firewall Premium est un pare-feu avancé et ne contient pas de composants antivirus classiques, tandis que les deux autres gagnants sont des solutions complètes de classe Internet Security.

L'inconvénient et le côté négatif du fonctionnement de tous les composants HIPS sont le nombre de messages divers qu'ils affichent et les demandes d'actions de l'utilisateur. Même le plus patient d'entre eux refusera un HIPS fiable s'il le dérange trop souvent avec des messages sur la détection d'activités suspectes et des demandes de réponse immédiate.

Le nombre minimum de demandes d'action des utilisateurs a été observé dans Kaspersky Internet Security 2009, PC Tools Firewall Plus 5.0 et Agnitum Outpost Security Suite 6.5. Le reste des produits était souvent ennuyeux avec des alertes.

"L'analyse comportementale est plus façon efficace prévenir l'infection par des logiciels malveillants inconnus que les méthodes heuristiques basées sur l'analyse du code des fichiers exécutables. Mais à leur tour, ils nécessitent certaines connaissances de la part de l'utilisateur et sa réaction à certains événements du système (création d'un fichier dans le répertoire système, création d'une clé de démarrage par une application inconnue, modification de la mémoire d'un processus système, etc. .)," commentaires Vasily Berdnikov, expert du site.

« Dans cette comparaison, les produits les plus connus intégrant HIPS ont été sélectionnés. Comme vous pouvez le constater, seuls trois produits ont pu empêcher de manière adéquate la pénétration dans l’anneau zéro. Aussi très paramètre important- le nombre de messages (alertes) qui surviennent lors du travail quotidien sur un PC et nécessitent la décision de l'utilisateur. C'est là que se détermine l'avantage technologique des produits : contrôler le système autant que possible et en même temps utiliser toutes sortes de technologies pour réduire le nombre de questions posées par HIPS lors du démarrage et de l'installation des programmes », note l'expert. .